代码之家  ›  专栏  ›  技术社区  ›  Alexandru Luchian

使用WS-Security签名消息时要签名的内容

ws-security spring-security security .net java
  •  1
  • Alexandru Luchian  · 技术社区  · 15 年前

    我正在向我的Web服务添加安全性并选择签名 Timestamp Token .

    在阅读文档时,我发现了很多他们在文档上签名的例子。 Body SOAP 消息。

    我的问题是:什么是最好的签名?

    据我所知签署 身体 如果 身体 相当大。

    谢谢。

    2 回复  |  直到 15 年前
        1
  •  2
  •   ZZ Coder    15 年前

    你必须在整个消息体上签名。

    xmldsig在<signedInfo>中定义的引用部分的摘要上执行。与pki操作相比,在大型实体中运行类似sha1的哈希算法花费的时间非常少。你不应该担心性能。

        2
  •  0
  •   sudr    15 年前

    如果一个客户机通过HTTPS向服务器发送一个WS-Secure SOAP请求,我的理解是,即使有人嗅到了流量,他们也无法解密它来查看SOAP消息,因此无法对其进行修补。所以我不认为需要双向SSL。

    在通过HTTPS使用WS-Secure时,我们能否不让HTTPS负责加密,而只使用WS-Secure进行身份验证(即对SOAP消息的某些部分进行时间戳或主体签名或其他签名)?

    推荐文章
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号